Hvernig á að tryggja Apache með ókeypis lets dulkóða SSL vottorð á Ubuntu og Debian


Þú ert með nýskráð lén og vefþjónninn þinn starfar með SSL sjálfsskrifuðu vottorði sem þú gefur út sem veldur höfuðverk fyrir viðskiptavini þína á meðan þeir heimsækja lénið vegna villna sem mynda vottorð? Þú ert með takmarkað kostnaðarhámark og hefur ekki efni á að kaupa vottorð gefið út af traustum CA? Þetta er þegar Let's Encrypt hugbúnaður kemur til sögunnar og bjargar deginum.

Ef þú ert að leita að því að setja upp Let's Encrypt fyrir Apache eða Nginx á RHEL, CentOS, Fedora eða Ubuntu og Debian, fylgdu þessum leiðbeiningum hér að neðan:

Let's Encrypt er vottunaryfirvöld (CA) sem auðveldar þér að fá ókeypis SSL/TLS vottorð sem þarf til að netþjónninn þinn geti keyrt á öruggan hátt, sem gerir notendum þínum slétta vafraupplifun, án nokkurra villna.

Öll skrefin sem þarf til að búa til vottorð eru að mestu leyti sjálfvirk fyrir Apache vefþjón. Hins vegar, þrátt fyrir hugbúnað á vefþjóninum þínum, verður að gera sum skref handvirkt og skírteinin verða að vera handvirkt sett upp, sérstaklega ef innihald vefsíðunnar þinnar er þjónað af Nginx púknum.

Þessi kennsla mun leiðbeina þér um hvernig þú getur sett upp Let's Encrypt hugbúnað á Ubuntu eða Debian, búið til og fengið ókeypis vottorð fyrir lénið þitt og hvernig þú getur sett upp vottorðið handvirkt í Apache og Nginx vefþjónum.

  1. Almennt skráð lén með gildum A skrám til að vísa til baka á ytri IP tölu netþjónsins. Ef þjónninn þinn er á bak við eldvegg skaltu gera nauðsynlegar ráðstafanir til að tryggja að netþjónninn þinn sé aðgengilegur fyrir allt orð frá internetinu með því að bæta við framsendingarreglum á beini megin.
  2. Apache vefþjónn settur upp með SSL einingu virka og sýndarhýsing virkt, ef þú hýsir mörg lén eða undirlén.

Skref 1: Settu upp Apache og virkjaðu SSL mát

1. Ef þú ert ekki með Apache vefþjóninn uppsettan á vélinni þinni skaltu gefa út eftirfarandi skipun til að setja upp Apache púkinn.

$ sudo apt-get install apache2

2. SSL mát virkjun fyrir Apache vefþjón á Ubuntu eða Debian það er alveg einfalt. Virkjaðu SSL mát og virkjaðu apache sjálfgefna SSL sýndargestgjafa með því að gefa út skipanirnar hér að neðan:

$ sudo a2enmod ssl
$ sudo a2ensite default-ssl.conf
$ sudo service apache2 restart
or
$ sudo systemctl restart apache2.service

Gestir geta nú fengið aðgang að léninu þínu í gegnum HTTPS samskiptareglur. Hins vegar, vegna þess að sjálfundirritað vottorð netþjónsins þíns er ekki gefið út af traustu vottunaryfirvaldi, birtist villuviðvörun í vöfrum þeirra eins og sýnt er á myndinni hér að neðan.

https://yourdomain.com

Skref 2: Settu upp ókeypis Let's Encrypt Client

3. Til þess að setja Let's Encrypt hugbúnaðinn upp á netþjóninum þínum þarftu að hafa git pakkann uppsettan á kerfinu þínu. Gefðu út eftirfarandi skipun til að setja upp git hugbúnað:

$ sudo apt-get -y install git

4. Næst skaltu velja möppu úr kerfisstigveldinu þínu þar sem þú vilt klóna Let's Encrypt git repository. Í þessari kennslu munum við nota /usr/local/ möppu sem uppsetningarslóð fyrir Let's Encrypt.

Skiptu yfir í /usr/local möppu og settu upp letsencrypt biðlara með því að gefa út eftirfarandi skipanir:

$ cd /usr/local
$ sudo git clone https://github.com/letsencrypt/letsencrypt

Skref 4: Búðu til SSL vottorð fyrir Apache

5. Ferlið við að fá SSL vottorð fyrir Apache er sjálfvirkt þökk sé Apache viðbótinni. Búðu til vottorðið með því að gefa út eftirfarandi skipun gegn léninu þínu. Gefðu upp lénið þitt sem færibreytu fyrir -d fánann.

$ cd /usr/local/letsencrypt
$ sudo ./letsencrypt-auto --apache -d your_domain.tld

Til dæmis, ef þú þarft vottorðið til að starfa á mörgum lénum eða undirlénum skaltu bæta þeim við öllum með því að nota -d fána fyrir hverja aukagilda DNS færslu á eftir grunnléninu.

$ sudo ./letsencrypt-auto --apache -d your_domain.tld  -d www. your_domain.tld 

6. Samþykktu leyfið, sláðu inn netfang til að endurheimta og veldu hvort viðskiptavinir geti skoðað lénið þitt með því að nota bæði HTTP samskiptareglur (öruggar og óöruggar) eða beina öllum óöruggum beiðnum yfir á HTTPS.

7. Eftir að uppsetningarferlinu lýkur með góðum árangri birtast hamingjuskilaboð á vélinni þinni sem upplýsir þig um gildistíma og hvernig þú getur prófað stillinguna eins og sýnt er á skjámyndunum hér að neðan.

Nú ættir þú að geta fundið vottorðaskrárnar þínar í /etc/letsencrypt/live möppunni með einfaldri skráningarskrá.

$ sudo ls /etc/letsencrypt/live

8. Að lokum, til að staðfesta stöðu SSL vottorðsins þíns skaltu fara á eftirfarandi hlekk. Skiptu um lén í samræmi við það.

https://www.ssllabs.com/ssltest/analyze.html?d=your_domain.tld&latest

Einnig geta gestir nú fengið aðgang að léninu þínu með HTTPS samskiptareglum án þess að villa birtist í vafra þeirra.

Skref 4: Sjálfvirk endurnýjun gerir kleift að dulkóða vottorð

9. Sjálfgefið er að vottorð gefin út af Let's Encrypt yfirvaldi gilda í 90 daga. Til þess að endurnýja vottorðið fyrir fyrningardagsetningu verður þú að keyra biðlarann aftur með því að nota nákvæma fána og færibreytur eins og áður.

$ sudo ./letsencrypt-auto --apache -d your_domain.tld

Eða ef um er að ræða mörg undirlén:

$ sudo ./letsencrypt-auto --apache -d your_domain.tld  -d www. your_domain.tld

10. Hægt er að gera sjálfvirkt endurnýjunarferlið skírteinis til að keyra á innan við 30 dögum fyrir gildistíma með því að nota Linux áætlun cron púkinn.

$ sudo crontab -e

Bættu við eftirfarandi skipun í lok crontab skráarinnar með því að nota aðeins eina línu:

0 1 1 */2 * cd /usr/local/letsencrypt && ./letsencrypt-auto certonly --apache --renew-by-default --apache -d domain.tld >> /var/log/domain.tld-renew.log 2>&1

11. Upplýsingar um stillingarskrá endurnýjunarléns fyrir Let's Encrypt hugbúnaðinn er að finna í /etc/letsencrypt/renewal/ möppunni.

$ cat /etc/letsencrypt/renewal/caeszar.tk.conf

Þú ættir líka að athuga skrána /etc/letsencrypt/options-ssl-apache.conf til að skoða nýju SSL stillingarskrána fyrir Apache vefþjóninn.

12. Einnig, Við skulum dulkóða apache viðbótina breytir sumum skrám í uppsetningu vefþjónsins. Til að athuga hvaða skrám hafði verið breytt skaltu skrá innihald /etc/apache2/sites-enabled möppu.

# ls /etc/apache2/sites-enabled/
# sudo cat /etc/apache2/sites-enabled/000-default-le-ssl.conf

Það er allt í bili! Í næstu röð af námskeiðum verður fjallað um hvernig þú getur fengið og sett upp Let's Encrypt vottorð fyrir Nginx vefþjón á Ubuntu og Debian og á CentOS líka.